Terminologie. Kryptographie. Zielsetzungen in der Kryptographie. Geschichte der Kryptographie

Transkript

1 Kryptographie Terminologie Kryptographie: Entwurf und Design von Kryptosystemen, also zum Beispiel Verfahren für die Verschlüsselung und digitale Signaturen. Vorlesung im WS 2008/9 hess/krypto-ws2008 Kryptoanalyse: Versucht, Kryptosysteme zu knacken. Kryptologie: Zusammenfassender Begriff für Kryptographie und Kryptoanalyse. Wir verwenden Kryptographie synonym für Kryptologie. Florian Heß / Gerriet Möhlmann Technische Universität Berlin Oktober Oktober 2008 Zielsetzungen in der Kryptographie Sichere digitale Kommunikation in Anwesenheit von vertrauensunwürdigen Personen. Hauptaufgaben: Verschlüsselung Digitale Signaturen Spezieller: Authentizität, Authentifizierung, Datenintegrität Anonymität, Autorisierung, elektronisches Geld elektronische Wahlen... Geschichte der Kryptographie Alte Disziplin: Cäsar, Alexander der Große,... Unsystematische Verwendung bis 20. Jahrhundert. 20. Jahrhundert: Systematisierung und Formalisierung. Wichtige Rolle im zweiten Weltkrieg (Enigma, A. Turing). Bis in die 60er Jahr hauptsächlich Verwendung durch Regierungen und Militär. Mit zunehmender Computerisierung verstärkte Verwendung und Anforderungen im wirtschaftlichen (privaten) Bereich Oktober Oktober 2008

2 Geschichte der Kryptographie 20. Jahrhundert (ctd): 1976: New directions in cryptography von Diffie und Hellman, Geburtsstunde der Kryptographie mit öffentlichem Schlüssel. 80er Jahre: Zero-knowledge Protokolle. 90er Jahre: Massenhafte Verbreitung kryptographischer Verfahren durch Computer, Internet, Geldautomaten, Mobilfunk, etc. Algorithmen Unter einem Algorithmus verstehen wir einen Text von elementaren Anweisungen, die beispielsweise auf einem Computer oder einer Turing Maschine ausgeführt werden können. Ein Algorithmus erwartet eine Eingabe, tätigt eine Ausgabe und endet dann. Ein Algorithmus heißt deterministisch, wenn die auszuführenden Anweisungen eindeutig durch die Eingabe bestimmt sind. Ein solcher Algorithmus verhält sich wie eine Funktion. Ein Algorithmus heißt probabilistisch, wenn die auszuführenden Anweisungen neben der Eingabe auch von zufälligen Entscheidungen während des Laufs abhängen Oktober Oktober 2008 Kryptographie und andere Wissenschaften Die Kryptographie ist ausgesprochen interdisziplinär: Theoretische und angewandte Informatik (Komplexitätstheorie, Informationstheorie, Protokolle, formale Methoden, Software Engineering,...) Mathematik (Algebra, Zahlentheorie,...) Elektrotechnik (Chipdesign,...) Physik (Quantenphysik und -computer,...) Gesellschaftspolitische und rechtliche Aspekte (DMCA,...) Informationssicherheit ( Softwaresicherheit ) fällt nicht unter Kryptographie. Algorithmen Zu vorgegebener Eingabe ist die Laufzeit eines Algorithmus die Anzahl der bis zum Ende des Algorithmus ausgeführten Anweisungen, inklusive der Zufallsabfragen. Im Zusammenhang mit Computern werden häufig Bitoperationen gezählt. Die Laufzeit und die Ausgabe eines probabilistischen Algorithmus hängen damit ebenfalls vom Zufall ab und stellen Zufallvariablen dar. Ist A ein probabilistischer Algorithmus, so können wir daraus einen deterministischen Algorithmus A D machen, indem wir die von A benutzte Zufallsquelle als Eingabe von A D auffassen. Ein Algorithmus ist polynomiell, wenn es ein Polynom f Z[t] gibt, so daß seine Laufzeit für die Eingabe x durch f ( x ) beschränkt ist. ( x ist die Wort- oder spezieller Bitlänge von x, siehe Folie 10) Oktober Oktober 2008

3 Algorithmen Beispiel: Aufgabe ist, eine 6 zu würfeln. Lösung ist, einfach wiederholt zu würfeln, bis eine 6 erscheint. Die erwartete Laufzeit dieses probabilistischen Algorithmus ist dann 6 mal Würfeln. In vielen Fällen sind probabilistische Algorithmen deterministischen Algorithmen zur Lösung der gleichen Probleme überlegen (einfacher und schneller). Konzepte der Verschlüsselung Klartexte sind aus Klartextraum: m M A 1. Chiffretexte sind aus Chiffretextraum: c C A 2. Schlüssel sind aus Schlüsselräumen: e K 1 A 3, d K 2 A 4. VerschlüsselungsverfahrenE : K 1 M C. EntschlüsselungsverfahrenD : K 2 C M. Verschlüsselung von Klartext m mit Schlüssel e: c E(e,m). Entschlüsselung von Chiffretext c mit Schlüssel d: m D(d,c). E und D sind effiziente Verfahren (z.b. Programme). E und D dürfen probabilistisch sein (dürfen den Zufall verwenden). E kann mehrdeutig sein ( ) Oktober Oktober 2008 Alphabete und Worte Ein Alphabet A ist eine nicht-leere Menge. Die Wortmenge A über A ist A = i=0 Ai. Beispiel: A = {A,...,Z}, HALLO A A = {0,1}, A. 1 k = 11 1, k Einsen. Leeres Wort: ε. Aneinanderhängen von Worten: m 1,m 2 A m 1 m 2 A. Länge m eines Worts m A : m ist minimal mit m A m. Schreibweise in einigen Programmiersprachen: A, HALLO, Beispiele: Affin-lineare Blockchiffren R = Z/wZ und M = C = R n, K 1 = K 2 = GL(n,R) R n. Für A GL(n,R) und b R n seien c =E((A,b),m) = Am + b, m =D((A,b),c) = A 1 (c b). Chiffre von Cäsar: w = 26, n = 1, A = (1), b = 3. Chiffre von Vignère: w = 26, A = I n, b R n. Nicht jeder Buchstabe wird gleich verschlüsselt. Chiffre von Hill: w = 26, A Permutationsmatrix, b = Oktober Oktober 2008

4 Beispiele: Affin-lineare Blockchiffren Kryptoanalyse: Angriff durch Untersuchung der Häufigkeit des Auftretens von Buchstaben in natürlicher Sprache. Angriff falls n + 1 Klartext- und Chiffretextpaare (m i,c i ) vorliegen. Dann m i c 0 = A(m i m 0 ). Ist U Matrix mit den Spalten c i c 0 und V Matrix mit den Spalten m i m 0, so gilt U = AV. Ist V invertierbar, folgt A = UV 1 und b = c 0 Am 0. Symmetrisch, asymmetrisch Symmetrisches Verschlüsselungssystem (secret key): d = e (oder d leicht aus e berechenbar). Sender und Empfänger haben e als gemeinsames Geheimnis. Asymmetrisches Verschlüsselungssystem (public key): d geheim, e öffentlich. d schwer oder gar nicht aus e berechenbar. Empfänger besitzt e und d. Sender verwendet e zum Verschlüsseln. Empfänger verwendet d zum Entschlüsseln Oktober Oktober 2008 Beispiele: Affin-lineare Blockchiffren Vernam s One Time Pad: Im Chiffre von Vignère den Vektor b gleichverteilt zufällig aus R n wählen und nur einmal verwenden. Dann c ebenfalls völlig zufällig, keine Verbindung zu Klartext. Daher unmöglich, aus c Informationen über m zu bekommen. Chiffre aber inpraktikabel (wie b zu Kommunikationspartner bringen?) Prinzip von Kerkhoff Grundlegende Anforderung: Sicherheit eines Systems sollte sich nicht aus der Geheimhaltung der Algorithmen, sondern nur aus den geheimen Schlüsseln ableiten. Gründe dafür: Geheime Schlüssel lassen sich schneller und häufiger austauschen, größere Flexibilität. Geheimhaltung funktionert nicht lange (siehe COMP128 im GSM Mobilfunk, RC4 von RSA), Umstellung auf neue Algorithmen teuer. Öffentliche Algorithmen können von unabhängiger Seite untersucht werden. Dies eliminiert Designfehler und baut Vertrauen bei Benutzern bzw. Kunden auf (siehe GSMK Cryptophone) Oktober Oktober 2008

5 Prinzip von Kerkhoff Gründe dagegen: Firmen wollen Geschäftsgeheimnisse bewahren. Staatliche Behörden wollen einen verbreiteten Gebrauch (z.b. durch Terroristen) des für eigene Zwecke entwickelten und benutzten, vielleicht sehr sicheren Kryptosystems verhindern. Im allgemeinen wird die Meinung vertreten, daß das Prinzip von Kerkhoff befolgt werden sollte. Ziele eines Angreifers: Chiffretext entschlüsseln. Chiffretexte bekannten Nachrichten zuordnen. Gegebenen Chiffretext in neuen Chiffretext umwandeln, so daß neuer Klartext mit alten Klartext sinnvoll verbunden ist. Irgendeinen Chiffretext erzeugen (ohne Klartext zu kennen). Die korrespondierenden (negierten) Eigenschaften des Verschlüsselungssystems: Einweg-Eigenschaft (onewayness, OW). Semantische Sicherheit, Nichtunterscheidbarkeit (indistinguishability, IND). Nicht-Modifizierbarkeit (non-malleability, NM). Plaintext-awareness (PA) Oktober Oktober 2008 Es werden Angreifer (Algorithmen, Programme, Menschen etc.) betrachtet. Im wesentlichen drei Aspekte: Was ist das Ziel eines Angriffs (wann erfolgreich)? Welche Informationen stehen dem Angreifer zur Verfügung? Welche Rechenleistung besitzt der Angreifer? Trifft man für diese Aspekte eine Wahl, so legt man sich auf ein Sicherheitsmodell fest. Gibt es unter den Aspekten keinen Angreifer, so ist das Kryptosystem sicher (im gewählten Modell). Informationen (Fähigkeiten) des Angreifers in aufsteigender Reihenfolge: Ciphertext-only Angriff: Der Angreifer erhält nur Chiffretexte. Known-plaintext Angriff: Der Angreifer erhält Klartexte und die zugehörigen Chiffretexte. Chosen-plaintext Angriff (CPA): Der Angreifer kann sich die Klartexte aussuchen und erhält die zugehörigen Chiffretexte. Zusätzlich bei Public-Key Verschlüsselungssystemen: Chosen-ciphertext Angriff (CCA1): Der Angreifer kann sich Chiffretexte aussuchen und erhält die zugehörigen Klartexte. Maximale Sicherheit, wenn Ziele minimal und Informationen maximal Oktober Oktober 2008

6 Chosen-plaintext und Chosen-ciphertext Angriffe gibt es auch in adaptiver und kombinierter Form: Der Angreifer darf Klar- und Chiffretexte in Abhängigkeit zuvor erhaltener Chiffre- bzw. Klartexte und den Ergebnissen von Zwischenrechnungen wählen. CCA1 wird dann zu CCA2. Beispiel: Das für Public-Key Systeme stärkste Sicherheitsmodell ist Nichtunterscheidbarkeit unter einem adaptiven Chosen-ciphertext Angriff (IND-CCA2). Hier versucht ein Angreifer die Chiffretexte zweier von ihm vorgegebener Nachrichten den Nachrichten zuzuordnen. Gelingt dies mit Wahrscheinlichkeit signifikant besser als 1/2, so gilt der Angriff als erfolgreich. NM ist sicherer als IND ist sicherer als OW. CCA2 ist sicherer als CCA1 ist sicherer als CPA. NM-CCA2 = IND-CCA2 (In spezieller Situation: PA ist sicherer als IND-CCA2, NM-CCA2) Oktober Oktober 2008 Rechenleistung eines Angreifers: Vergleichbar der von E und D (polynomiell). Unbeschränkt. Die korrespondierenden (negierten) Eigenschaften des Verschlüsselungssystems: Komplexitätstheoretische Sicherheit (computational security). Perfekte Sicherheit (unconditional security, perfect secrecy). Im allgemeinen betrachtet man nur komplexitätstheoretische Sicherheit. Konzepte der Signatur Nachrichten aus Nachrichtenraum: m M A 1. Signaturen aus Signaturenraum: σ S A 2. Schlüssel sind aus Schlüsselräumen: d K 1 A 3, e K 2 A 4. SignierungsverfahrenS : K 1 M S. VerifizierungsverfahrenV : K 2 M S {0,1}. Signatur von Nachricht m mit Schlüssel d: σ S (d,m). Verifizierung von m,σ mit Schlüssel e: f V (e,m,σ). S und V sind effiziente Verfahren (z.b. Programme). S und V dürfen probabilistisch sein (dürfen den Zufall verwenden). S kann mehrdeutig sein ( ) Oktober Oktober 2008

7 Symmetrisch Symmetrisches Signatursystem (secret key, MAC): d = e (oder d leicht aus e berechenbar). Sender und Empfänger haben e als gemeinsames Geheimnis. Gemeinhin als Message Authentication Code (MAC) bezeichnet, meistens deterministisch. Erweiterte Nachrichten werden verschickt: (m,σ) wo σ S (d,m). Integrität der erweiterten Nachrichten (m,σ) wird vonv mits (d,m) = σ überprüft. Hashfunktion: MAC ohne geheimen Schlüssel. Das Prinzip von Kerkhoff soll gelten (vielleicht ein Grund dagegen weniger hier). Ziele des Angreifers: Existentielle Fälschung. Der Angreifer berechnet eine Signatur für eine Nachricht. Universelle Fälschung: Der Angreifer kann Signaturen für jede beliebige Nachricht berechnen. Total break: Der Angreifer berechnet den geheimen Schlüssel des Signierers Oktober Oktober 2008 Asymmetrisch (Asymmetrisches, public key) Signatursystem: d geheim, e öffentlich. d schwer oder gar nicht aus e berechenbar. Signierer besitzt e und d. Signierer verwendet d zum Signieren. Empfänger verwendet e zum Verifizieren. Informationen (Fähigkeiten) des Angreifers in aufsteigender Reihenfolge: Key-only Angriff: Der Angreifer kennt nur den öffentlichen Schlüssel des Signierers. Known-Signature Angriff: Der Angreifer erhält Nachrichten und die zugehörigen Signaturen. Chosen-Message Angriff: Der Angreifer kann sich die Nachrichten aussuchen und erhält die zugehörigen Signaturen. Den letzte Variante gibt es auch in adaptiver Form. Stärkstes Sicherheitsmodell: Sicherheit bezüglich existenzieller Fälschung unter adaptiven Chosen-Message Angriffen Oktober Oktober 2008

8 Verwendung von Hashfunktionen Hashfunktion H : M {0,1}. Im allgemeinen wird nur ein Hashwert H(m) und nicht m selbst signiert. Effizienter, da H(m) viel kürzer als m ist. Beweisbare Sicherheit von in der Praxis relevanten Verfahren (allerdings im Zufallsorakelmodell, RO). Offenbar muß H kollisionsfrei sein, man kann keine zwei Nachrichten m 1,m 2 mit H(m 1 ) = H(m 2 ) berechnen. Bemerkungen Die meisten heute verwendeten Kryptosysteme sind unsicher, wenn ein Angreifer unbegrenzte Rechenleistung hat. Darüberhinaus sind die meisten heute verwendeten Public-Key Verfahren bereits unsicher, wenn ein Angreifer auch nur gewisse Operationen besonders schnell ausführen kann (Quantencomputer). Es gibt keine Kryptosysteme mit komplexitätstheoretischer Sicherheit, deren Sicherheit mathematisch bewiesen wurde (dies würde im EndeffektP NP implizieren) Oktober Oktober 2008 Brute-Force (exhaustive search) Angriff Dieser Angriff kann bei Kryptosystemen mit komplexitätstheoretischer Sicherheit immer ausgeführt werden. Für Verschlüsselungsverfahren zum Beispiel: 1. Alle Entschlüsselungsschlüssel ausprobieren. 2. Schauen, ob das Entschlüsselte Sinn macht (d.h. Ausnutzen von Redundanz in beispielsweise geschriebener Sprache etc.) oder ob der Schlüssel zu evtl. bekannten Klartext- und Chiffretextpaaren paßt. Gegenmaßnahme im allgemeinen: Ausreichend großen Schlüsselraum haben, somit Aufwand für Angriff groß genug machen. Vergleich Public-Key und Secret-Key Kryptographie Public-Key: größere Funktionalität, z.b. Schlüsselaustausch, Signaturen, etc. basiert auf mathematischen Problemen (aus der Zahlentheorie). Secret-Key: effizienter in Verschlüsselung (ebenso MAC und Hashfunktionen). Hybridverfahren: Austausch geheimer, sogenannter Sitzungsschlüssel (Session Keys) mittels Public-Key Kryptographie. Danach Verwendung symmetrischer Verfahren Oktober Oktober 2008

9 Protokolle Sind definierte Abfolgen von Kommunikations- und Berechnungschritten zwischen mindestens zwei Teilnehmern zum Lösen kryptographischer Aufgaben. Beispiel: Challenge-Response Protokoll zur Identifikation. Alice besitzt öffentlichen Schlüssel e und geheimen Schlüssel d eines Signaturverfahrens. Bob soll überzeugt werden, daß Alice d kennt, ohne daß d an Bob geschickt wird. 1. Bob wählt zufällige Nachricht m und schickt sie an Alice. 2. Alice schickt Bob ihre Signatur der Nachricht m unter d. 3. Bob ist überzeugt, wenn die Signatur bzgl. e gültig ist Oktober 2008 Protokolle Eine Angreiferin Eve ohne Kenntnis von d müßte Signaturen von m fälschen, um Bob zu überzeugen. Angreifer können aktiv oder passiv sein (substitute, replay, insertion attacks). Sicherheitsbeweis eines Protokolls: Mit Hilfe eines Widerspruchs... Man zeigt, daß man mit Hilfe eines Angreifers zugrunde liegende kryptographische Primitive angreifen kann beziehungsweise daß man damit ein zugrundeliegendes, schwieriges mathematisches Berechnungsproblem lösen kann. Da das Problem aber schwierig ist, kann es keinen Angreifer geben Oktober 2008